협력사 AI 사고도 원청 책임"…공급망 AI 관리, 법무·감사 영역으로 확대

AI 요약

협력사와 외부 AI 도구 사용이 늘어나면서 공급망 관리 범위가 데이터 통제와 AI 감사로 확대되고 있으며, EU 인공지능법(AI Act) 제25조는 협력사 AI를 자사 브랜드로 출시하거나 고위험 용도로 전환할 경우 원청 기업에도 위험관리·인간감독·중대사고 보고 의무를 부과하고 위반 시 최대 1500만유로(약 258억원) 벌금을 부과한다고 규정하고 있어 규제 책임이 원청으로 확대되고 있습니다. IBM 보고서는 조사 기업 5곳 중 1곳이 승인되지 않은 ‘섀도 AI’ 사용과 연관된 침해를 경험했고 해당 침해는 평균 67만달러 높은 비용을 유발했으며, 2024년 2월 브리티시 컬럼비아의 민사중재원은 에어캐나다 챗봇의 잘못된 안내에 항공사가 책임을 져야 한다고 결정하는 등 법적 책임 사례도 나오고 있습니다. 이에 따라 노바티스 등 선도 기업은 제3자 행동 규범에 AI 거버넌스 조항과 감사·데이터 침해 통지 의무를 신설했고, 텀스카우트 분석에서는 AI 벤더 계약의 92%가 광범위한 데이터 사용권을 포함하는 반면 관련 법규 준수를 명시한 계약은 17%에 불과하며 딜로이트는 공급망 리스크 관리가 연례 점검에서 상시 감시 체계로 이동하고 있다고 진단했습니다.